Vulnerabilidad en GPT Academic (CVE-2024-31224)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
08/04/2024
Última modificación:
04/11/2025
Descripción
GPT Academic proporciona interfaces interactivas para modelos de lenguaje grandes. Se encontró una vulnerabilidad en las versiones 3.64 a 3.73 de gpt_academic. El servidor deserializa datos no confiables del cliente, lo que puede poner en riesgo la ejecución remota de código. Cualquier dispositivo que exponga el servicio GPT Academic a Internet es vulnerable. La versión 3.74 contiene un parche para el problema. No se conocen workarounds aparte de actualizar a una versión parcheada.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:binary-husky:gpt_academic:*:*:*:*:*:*:*:* | 3.64-1 (incluyendo) | 3.74 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/binary-husky/gpt_academic/commit/8af6c0cab6d96f5c4520bec85b24802e6e823f35
- https://github.com/binary-husky/gpt_academic/pull/1648
- https://github.com/binary-husky/gpt_academic/security/advisories/GHSA-jcjc-89wr-vv7g
- https://github.com/binary-husky/gpt_academic/commit/8af6c0cab6d96f5c4520bec85b24802e6e823f35
- https://github.com/binary-husky/gpt_academic/pull/1648
- https://github.com/binary-husky/gpt_academic/security/advisories/GHSA-jcjc-89wr-vv7g